Collaboration
Auditieren statt ignorieren
Fortsetzung des Artikels von Teil 1
Die Tücken globaler SaaS-Dienste
Das gilt besonders dann, wenn es sich um einen globalen SaaS-Dienst handelt, bei dem in der Regel nicht klar ist, wo er gehostet wird, welches Recht gilt und welche Institutionen Zugriff auf die Daten haben. Bei amerikanischen Anbietern greift der Cloud Act, früher Patriot Act, der amerikanischen Behörden den Zugriff auf beliebige Nutzungs- und Nutzerdaten erlaubt, sobald ein selbsternannter Grund dafür vorliegt. Datensicherheit kann aber nur dann gewährleistet werden, wenn Nutzer die volle Transparenz und Kontrolle über ihre Applikationen haben. Das gilt auch für die unter Security-Aspekten wünschenswerten Verschlüsselungsfunktionen für die sichere Datenübertragung, die aber nur dann wirkliche Sicherheit gewähren, wenn klar ist, welche Encryption-Algorithmen verwendet werden und wer Zugriff auf die Schlüssel hat. Hier haben die an sich sinnvollen, und in der Zukunft höchst wahrscheinlich weiter wachsenden, globalen SaaS-Dienste einen erheblichen Nachbesserungsbedarf.
Unabhängige Audit-Institutionen dringend notwendig
Daraus ergibt sich die Forderung nach einer nationalen oder europäischen Institution, die die Sicherheit globaler SaaS-Dienste regelmäßig auf der Basis eigener technischer und rechtlicher Security-Kriterien zum Schutz von Wirtschaft, Organisationen und Institutionen prüft. Aber weder die europäischen Behörden noch das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI sind bislang in diesem so sicherheitskritischen Bereich aktiv geworden. Die Lösung dieses Problems könnte von IT-Experten wie beispielsweise dem Chaos Computer Club oder Auditierungsspezialisten wie unter anderem Compass Security geliefert werden, die in offiziellem Auftrag, etwa durch das BSI oder auf europäischer Ebene, SaaS-Dienste auditieren. Wobei hier autarke Einheiten wie die oben genannten (supra-)nationalen Behörden aus mehreren Gründen, zum Beispiel der Kompetenz, der Geschwindigkeit und der Neutralität, vorzuziehen wären.
Der aktuell existierende Mangel an ebenso kompetenten wie unabhängigen Institutionen, die verlässlich prüfen und Auskunft darüber geben können, welche Anwendungen die Sicherheitsanforderungen erfüllen, muss dringend behoben werden. Ein einzelnes Unternehmen allein ist damit überfordert, insbesondere im Mittelstand. Außerdem ist es unter wirtschaftlichen Gesichtspunkten wenig sinnvoll, wenn die Skalierungseffekte nicht genutzt werden, die durch unabhängige Prüfungsinstanzen möglich sind.
Sicherheit in sinnvollen Etappen
Diese Audit-Informationen können dann in eine mehrdimensionale Matrix einfließen, die Aspekte wie Kosten, Aufwand, Komfort und Sicherheit zueinander in Beziehung setzt und als Entscheidungsgrundlage für die Nutzung – oder Ablehnung – eines bestimmten SaaS-Dienstes dient. So könnte jedes Unternehmen auf Basis unabhängiger Informationen selbst über das für die jeweiligen spezifischen Anforderungen passende Maß an Security entscheiden. Das hat im Idealfall für die Vorstandskommunikation, das Personalwesen oder die Forschungs- und Entwicklungsabteilung eine höhere Schwelle als für das Marketing oder das Gebäudemanagement. Neben der Definition kritischer Segmente erleichtert auch die Hierarchisierung der Daten die Umsetzung von Sicherheitsvorgaben. Schützenwerte oder gar unternehmenskritische Assets wie Patente brauchen mehr Schutz als die Eventplanung oder die Sales-Präsentation. Das reduziert den Aufwand, da die Zusammenarbeit mit unkritischen Daten keine oder nur geringe Sicherheitsvorkehrungen erfordert.
Nicht nur für Kommunikations- und Kollaborationsanwendungen gilt die Prämisse, dass jeder IT-Verantwortliche – und das kann auch ein Team- oder Abteilungsleiter sein – jederzeit in der Lage sein muss, die Software, die er nutzt und bezahlt, zu auditieren. Diese Verantwortung ist verbindlich in der DSGVO verankert, aber kaum ein Anbieter erlaubt diese Prüfung oder bietet zumindest technisch die Voraussetzungen dafür. Kein Anwender weiß, was mit seiner Kommunikationsinstanz gerade passiert, wo sie aktuell gehostet wird. Das macht sie für den Nutzer unkontrollierbar, entspricht damit nicht den Vorgaben der DSGVO und kann schlimmstenfalls zu empfindlichen Strafen führen.
Andrea Wörrlein, Verwaltungsrätin VNC (Schweiz) sowie Geschäftsführerin VNC (Deutschland)
- Auditieren statt ignorieren
- Die Tücken globaler SaaS-Dienste
Lesen Sie mehr zum Thema
